Bahay Seguridad Ang end-to-end na pag-encrypt ng Google ay hindi kung ano ang tila

Ang end-to-end na pag-encrypt ng Google ay hindi kung ano ang tila

Talaan ng mga Nilalaman:

Anonim

Ang pagtawag nito ay ang FUD ay maaaring medyo malakas, ngunit tiyak na mayroong isang malaking pagkalito tungkol sa extension ng Google Chrome na inihayag noong Hunyo 3, 2014, na tinatawag na End-to-End. Kapag pinakawalan, magpapahintulot ang extension ng end-to-end encryption ng mga email message. Tunog na simple sapat, di ba? Ngunit doon nagsisimula ang pagkalito, dahil ang karamihan sa mga tao ay nasa ilalim ng impression na ang mga mensahe ng Gmail ay naka-encrypt. At, sila. Well, uri ng …

Hindi ba Naka-encrypt na ang Gmail?

Ang pinakasimpleng paraan upang maipaliwanag ang kasalukuyang pag-encrypt ng Gmail ay ang pag-isip tungkol sa email na paglalakbay mula sa computer ng nagpadala sa nais na tatanggap ng email. Sa panahon ng transit, ang mga digital na mensahe ay naka-encrypt sa pamamagitan ng Transport Layer Security (TLS), isang protocol na nagbibigay ng seguridad sa pagitan ng mga aplikasyon ng client / server na nakikipag-usap sa bawat isa sa Internet.


Ang maling akala ay naglalaro kapag ang mensahe ay nagpapahinga sa nagpadala, mga tagapamagitan server o ang tatanggap. Sa mga puntong iyon, ang mensahe ay hindi naka-encrypt. Ang isa pang oras na ang mensahe ay hindi naka-encrypt ay kung ang programa ng email ng tatanggap ay hindi tumatanggap ng mga HTTPS (gamit ang TLS) na mga mensahe. Iyon ang dahilan kung bakit sinabi ng mga eksperto ang kasalukuyang pag-encrypt ng Gmail ay hindi "end-to-end."


Sinusubaybayan ng Google ang bilang ng mga ipinadala na mga mensahe ng Gmail na naka-encrypt habang nasa transit pati na rin ang bilang ng mga mensahe na natanggap ng mga gumagamit ng Gmail na naka-encrypt din sa transit. Tulad ng ipinakita sa ulat sa ibaba, hanggang sa 50 porsyento ng mga mensahe ng Gmail ay hindi naka-encrypt.


Ang End-to-End Encryption ay Hindi Bago

Kapansin-pansin, mayroong tunay na mga aplikasyon ng pag-encrypt ng email na pang-end-to-end, ngunit hindi ito sikat. Dalawang halimbawa ay ang PGP at GnuPG. Lalo na kawili-wili ang PGP na ang tagalikha nito, si Phil Zimmermann, ay nagkaroon ng malubhang problema sa gobyerno ng US noong una niyang nilikha ang PGP. Ang dahilan? Masyadong epektibo ang PGP.


Ang tanong ay, kung posible na i-encrypt ang pagtatapos ng email, bakit hindi ginagamit ng mga tao? Ang sagot: kapag ang kaginhawaan at pag-aaway ng seguridad, kadalasang mananalo ang kaginhawaan. At sa kasalukuyan, ang pag-encrypt ng email ay kumplikado upang mai-set up at isang sakit na gagamitin. Gayundin, hanggang sa kamakailan lamang, ang mga tao ay hindi nababahala tungkol sa pag-encrypt ng kanilang email. (Matuto nang higit pa tungkol sa privacy at seguridad sa Ano ang Dapat mong Malaman Tungkol sa Iyong Pagkapribado Online.)


Ang isa pang komplikasyon na may pag-encrypt ng end-to-end na email ay ang kapwa partido ay nangangailangan ng katugmang software ng encryption. Kung ang mga programa ay hindi magkatugma, ang mensahe ng email ay hindi mag-decrypt. Kaya, sa halip na panganib na hindi magkaroon ng isang basahin ang isang email, karamihan sa mga nagpadala ay hindi nag-abala sa pag-encrypt.

Ano ang Google End-to-End?

Alam ng mga developer ng Google ang mga isyu sa itaas, at gumawa ng isang proseso ng pag-encrypt na palakaibigan ng gumagamit, "isang extension ng Chrome na tumutulong sa iyo na i-encrypt, i-decrypt, digital sign, at i-verify ang mga naka-sign na mensahe sa loob ng browser gamit ang OpenPGP." Pagkatapos nito ay mailalagay ang bagong bersyon ng pag-encrypt ng email sa Google na kategorya na "end-to-end".


Ang extension ng pag-encrypt ng Google ay agad na nakakuha ng interes mula sa komunidad ng privacy. Kung ang End-to-End ay ginagawa kung ano ang sinabi ng Google, ang extension ay maiiwasan ang Google mula sa pag-scan sa katawan ng mensahe, isang bagay na ginagawa ngayon ng Google, at isinasaalang-alang ang isang stream ng kita. Sa isang post sa blog ng Hunyo 11, si Jim Ivers, punong tagapagpatnubay sa seguridad para sa Covata, ay nag-aalok at paliwanag.


"Ipinapalagay ko na handa ang Google na ipagpalit kung ano ang mawawala sa naka-encrypt na data upang mapanatili ang mga customer sa ekosistema ng Google sa pamamagitan ng paglitaw na nababahala sa kanilang privacy ng email, " sulat ni Ivers.

Ano ang Hindi Katatapos ng Google

Ang mga eksperto sa pag-encrypt ay nagsipa na ng mga gulong ng extension, at maraming mga potensyal na isyu ang lumitaw. Dahil ito ay isang extension ng Chrome, ang proseso ng pag-encrypt ay mangangailangan ng kapwa sa nagpadala at tatanggap na gumamit ng browser ng Chrome Web. Huling beses kong suriin, ang Chrome ay ginagamit ng mas mababa sa 50 porsyento ng mga nasa Internet.


Iba pang mga isyu ay ang Google End-to-End ay hindi suportado sa mga mobile device; lilitaw na ang mga attachment ay mananatiling hindi naka-encrypt para sa ngayon din. Lahat sa lahat, mayroong sapat na negatibong puntos upang bigyan ng mga kadahilanan ang mga pundits upang mag-alinlangan sa isang malaking sukat na pag-ampon.

Ang ilang Mga Kapaki-pakinabang na Tip tungkol sa Pag-encrypt

Ang buong ideya sa likod ng pag-encrypt ay upang mapanatili ang privacy sa pagitan ng nagpadala at tatanggap. Isang bagay na dapat isaalang-alang ng nagpadala ay, paano kung ang taong tumatanggap ng naka-encrypt na email ay ipapasa ito nang walang pag-encrypt? Kung ang mensahe ay sapat na mahalaga, ang nais ng nagpadala ay maaaring mag-instigate ng ilang mga kontrol na pinapayagan lamang na tingnan ng tatanggap, ngunit hindi mag-print, kopyahin, o i-save ang mensahe.


"Ang mga aralin ay malinaw: mag-ingat sa mga malalaking nagtitinda ng ekosistema na nagbigay ng mga regalo, basahin nang mabuti ang mga detalye para sa maraming mga caveats at eksepsyon, at kumuha ng isang holistic na pananaw ng pag-encrypt, " sulat ni Ivers. Mahusay na payo, lalo na kung isinasaalang-alang mo kung gaano karaming nawawala sa bagong extension ng pag-encrypt ng Google. Siyempre, ang pinakamalaking bagay na nawawala pagdating sa pag-ampon ng anumang uri ng end-to-end na pag-encrypt ay kaginhawaan.

Ang kaginhawaan ay ang Susi

Inaasahan ng Google na ang bagong serbisyo ng Chrome na gagawing end-to-end encryption ang madaling pagpipilian para sa mga gumagamit nito. Kahit na, makatotohanang ang Google. Si Stephan Somogyi, manager ng produkto, seguridad at privacy ay nagsabi, "Kinikilala namin na ang ganitong uri ng pag-encrypt ay magagamit lamang para sa mga sensitibong mensahe o ng mga nangangailangan ng karagdagang proteksyon."


Sinabi ng Google na ang End-to-End ay isang alpha build pa rin, at magagamit lamang sa developer ng komunidad. Sinabi ng kumpanya kapag naramdaman nilang handa na ang extension at walang bug, gagawin nila itong magagamit sa Chrome Web store. Ito ay isang di-sakdal na solusyon sa seguridad, ngunit mas ligtas pa ito. Ang tanong, may mag-aabala bang mai-install ito?

Ang end-to-end na pag-encrypt ng Google ay hindi kung ano ang tila